双重安全

Duo安全设置要求

Duo默认情况下未启用AdminAPI。因此,您必须联系Duo代表以使AdminAPI能够利用此集成。

如果需要,可提供API文档在这里.

一旦它们被启用,您将需要加载Duo日志。要加载Duo日志,收集器需要能够连接到https://[customersubdomain].duosecurity.com.

设置Duo Security Admin API集成

InsightOps支持在Duo Security中监视用户帐户和身份验证。此功能可通过使用Duo Security配置密钥来实现,Duo Security可提供对其数据的网络外访问。

执行以下步骤,让InsightOps收集器接收Duo Security的日志。

  1. 联系Duo Security客户支持,请求他们解锁管理API,以便InsightOps访问身份验证日志历史记录。
  2. 在Duo管理面板中创建管理API集成。
  3. 复制集成密钥、密钥和管理API集成的特定子域。
  4. 在InsightOps事件源设置页面的相应字段中输入凭据。

注意:Duo Security通过Admin API集成提供身份验证日志。此集成仅适用于Enterprise edition客户,并可根据要求启用。如果您是Enterprise edition客户,并且尚未请求管理API集成,请联系Duo Security support并请求。

要创建新的集成,请执行以下操作:

  1. 登录Duo Security管理面板。
  2. 单击左侧边栏中的集成。
  3. 单击+新建集成按钮。将显示一个屏幕,提示您选择集成类型。
  4. 从集成类型下拉列表中选择管理API。
  5. 在集成名称字段中输入集成的名称。此名称不用于InsightOps,可以是您喜欢的任何名称。
  6. 单击创建集成按钮。
  7. 向下滚动至“权限”,然后选中“授予读取日志”旁边的复选框,以便向API应用程序授予权限。然后保存更改。将显示集成属性页面。
  8. 在集成密钥字段中输入集成密钥。
  9. 在密钥字段中输入Duo Security提供的密钥。
  10. 在API主机名字段中输入API主机名。

如何配置此事件源

将此信息输入InsightOps事件源设置,以便事件源通过身份验证返回Duo Security。创建令牌后,需要在InsightOps中编辑Duo Security事件源。执行以下步骤。

  1. 从仪表板中,选择左侧菜单上的数据采集
  2. 在页面右上角,选择添加数据
  3. 从安全数据部分选择云服务图标
  4. 选择收集器,并可以选择命名事件源
  5. 从事件源选项列表中,选择Duo Security
  6. 选择时区,或选择仅显示美国时区
  7. (可选)选择发送未筛选的日志
  8. 在集成密钥字段中输入集成密钥。
  9. 选择现有凭据或创建新凭据。
  10. 在“密钥”字段中输入密钥。
  11. 在Duo subdomain字段中输入Duo subdomain,格式为api-xxxxxxxx.
    • 例如,如果你有api-12ab3456.yourdomain.com你会用api-12ab3456作为子域。
  12. 以分钟为单位输入刷新率。
  13. 配置任何高级设置。
  14. 单击保存。

高级事件源设置

回退域:如果您有在多域环境中运行的事件源,Rapid7建议使用回退域来解决用户帐户的任何问题。

例如,如果您的公司位于美国和加拿大,但这两个地区都有一个名为“John Smith”的用户,并且您的主域是公司网站,您的回退域可能是美国公司,这将允许InsightOps更准确地将数据归因于正确的用户。

故障排除

使用Windows收集器时,在使用强化密码套件时,您可能会遇到连接到Duo的问题。Duo建议应用Microsoft修补程序来修复TLS1.1或TLS1.2的问题。可以找到更多信息在这里.

Duo Security与多种设备和应用程序集成。点击在这里了解更多信息。